#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вновь появился LummaStealer, нацеленный на системы Windows для эффективного сбора конфиденциальной информации, такой как учетные данные и криптовалютные кошельки, главным образом с помощью тактики социальной инженерии. Он поставляется CastleLoader, который запускает вредоносное ПО с помощью динамической загрузки и запутывания, используя обманчивые загрузки-приманки, замаскированные под законное программное обеспечение, часто из одноранговых сетей. Работа вредоносное ПО приводит к серьезным угрозам, включая захват учетных записей и финансовое мошенничество, путем извлечения обширных персональных данных у пользователей, подвергшихся компрометация.
-----

LummaStealer вновь проявила повышенную активность, несмотря на предыдущие усилия правоохранительных органов по демонтажу ее инфраструктуры в 2022 году. Вредоносное ПО, нацеленное в первую очередь на системы Windows, эффективно собирает конфиденциальные данные, такие как учетные данные, сеансовые файлы cookie и криптовалютные кошельки. Он использует методы социальной инженерии, а не прямые уязвимости программного обеспечения, часто обманом заставляя пользователей запускать вредоносное ПО с помощью таких обманчивых методов, как поддельные загрузки программного обеспечения, капчи и поддельные предложения игр или фильмов.

CastleLoader стал основным механизмом доставки для LummaStealer, использующим такие методы, как выполнение в памяти и сильное запутывание, чтобы избежать обнаружения. Этот загрузчик на основе скриптов, который может быть реализован на таких языках, как Python и AutoIt, облегчает загрузку LummaStealer в память. Он также использует интересную тактику, когда генерирует неудачные DNS-запросы к несуществующим доменам, создавая обнаруживаемый шаблон, который можно отследить. После выполнения он также изменяет среду пользователя, создавая ярлыки, которые автоматизируют закрепление вредоносное ПО.

Кампании, использующие LummaStealer и CastleLoader, в основном начинаются с загрузки приманки, которая заманивает пользователей к установке вредоносных программ, замаскированных под законное программное обеспечение. Часто в качестве приманки используется взломанное программное обеспечение для популярных приложений и игр, особенно тех, которые распространяются в одноранговых сетях. Эффективные методы распространения включают использование законных платформ и сетей доставки контента, что усложняет усилия по обнаружению.

Последствия деятельности LummaStealer серьезны и создают такие риски, как захват учетных записей, кража личных данных и масштабное финансовое мошенничество. После развертывания вредоносное ПО может извлекать огромный массив личной информации, что приводит к немедленному и устойчивому воздействие на конфиденциальность пользователей. Чтобы смягчить эти угрозы, организации и пользователи должны уделять особое внимание обучению осведомленности и контролю поведения, поскольку успех схемы в значительной степени зависит от действий пользователей. Эта постоянная угроза подчеркивает адаптивный и эволюционирующий ландшафт вредоносное ПО, который использует стратегии социальной инженерии и сложные механизмы доставки.

#ParsedReport #CompletenessLow
14-02-2026

New Clickfix Exploit Tricks Users into Changing DNS Settings for Malware Installation

https://cybersecuritynews.com/new-clickfix-attack-uses-dns-hijacking/

Report completeness: Low

Threats:
Clickfix_technique
Dns_hijacking_technique
Modelorat

Victims:
Consumers

ChatGPT TTPs:
do not use without manual check
T1204, T1565, T1566

IOCs:
File: 2
IP: 1

Soft:
Microsoft Defender

Algorithms:
zip

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Эксплойт Clickfix использует DNS hijacking для обеспечения возможности установки вредоносное ПО путем обмана пользователей с целью изменения их настроек DNS, что перенаправляет их на вредоносные сайты. Используя тактику социальной инженерии, злоумышленники создают убедительные рассказы, чтобы завоевать доверие пользователей, и манипулируют этими настройками, что приводит к потенциальному внедрению вредоносное ПО, которое может включать эксфильтрация данных и удаленный доступ. Этот метод не только компрометация безопасности отдельных пользователей, но и создает риск распространения вредоносное ПО по сетям.
-----

Эксплойт Clickfix представляет собой важный метод в области киберугроза, в частности, использующий DNS hijacking для облегчения установки вредоносное ПО. Этот метод направлен на то, чтобы обманом заставить пользователей изменить свои настройки DNS, что может эффективно перенаправлять веб-трафик на вредоносные сайты, контролируемые злоумышленник. Как только пользователи непреднамеренно изменяют свои настройки DNS, эксплойт может инициировать серию действий, которые внедряют вредоносное ПО в системы компрометация.

Основной механизм эксплойта Clickfix основан на социальной инженерии, когда злоумышленники создают убедительные повествования или интерфейсы, которые заставляют пользователей доверять законности изменения конфигураций DNS. Корректировка настроек DNS не только ставит под угрозу онлайн-безопасность отдельного пользователя, но и повышает вероятность более широких воздействие, таких как распространение вредоносное ПО по всей сети на нескольких устройствах, подключенных к уязвимой сети.

Вредоносное ПО, развертываемое с помощью этого типа атак, обычно демонстрирует поведение, соответствующее традиционным угрозам, таким как эксфильтрация данных, Троянская программа удаленного доступа и программы-вымогатели, в зависимости от целей злоумышленник. Системы компрометация могут быть использованы для дальнейших атак, включая фишинг или дополнительный несанкционированный доступ к конфиденциальным данным.

Учитывая природу эксплойта Clickfix, он подчеркивает важность осведомленности пользователей и необходимость принятия надежных мер безопасности, таких как фильтрация DNS и сегментация сети. Кроме того, в нем обращается внимание на продолжающуюся эволюцию киберугроза, которые используют наивность пользователей, подчеркивая необходимость непрерывного образования и адаптивных стратегий защиты в фреймворк Кибербезопасность.

#ParsedReport #CompletenessLow
12-02-2026

Have you tried turning it off and on again?On bricking OT devices (part 1)

https://www.midnightblue.nl/blog/have-you-tried-turning-it-off-and-on-again-part-1

Report completeness: Low

Threats:
Industoyer2
Metasploit_tool
Eternal_petya
Disttrack
Killdisk
Acidpour
Fuxnet

Victims:
Wind farms, Solar farms, Combined heat and power plant, Electric grid operators

Industry:
Critical_infrastructure, Energy, Ics

Geo:
Polish, Polands, Moscow, Poland, Ukrainian

CVEs:
CVE-2024-2617 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-8036 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2015-5374 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens siprotec_firmware (4.24)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1059, T1070.004, T1078, T1105, T1490, T1495, T1531, T1542.004, T1562.001, have more...

IOCs:
File: 1

Soft:
Linux

Platforms:
arm

Links:
have more...
https://github.com/torvalds/linux/blob/2687c848e57820651b9f69d30c4710f4219f7dbf/include/uapi/mtd/mtd-abi.h#L208
https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/dos/scada/siemens\_siprotec4.rb

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года скоординированная кибератака была нацелен на электросеть Польши, используя уязвимости в распределенных энергетических ресурсах (DERS), таких как Hitachi RTU560 и Mikronika RTUs. Злоумышленники осуществили компрометация этих устройств через открытые веб-интерфейсы и SSH, используя учетные данные по умолчанию, загрузив вредоносное прошивка, которая заблокировала RTU и стерла файловые системы. Эти методы включали Удаленное Выполнение Кода, внедрение команд и методы доступа к файловой системе, что представляло значительный риск для операционных технологических систем.
-----

В декабре 2025 года скоординированные кибератаки были нацелен на электросеть Польши, воздействие на различные инфраструктуры, включая ветряные и солнечные электростанции и комбинированную теплоэлектростанцию. Хотя непосредственное воздействие на энергосистему было ограниченным, методы, использованные во время атаки, вызвали серьезные опасения из-за их своевременности в условиях суровых погодных условий, которые могли усугубить ситуацию.

Метод атаки в первую очередь включал распределенные энергетические ресурсы (DERS), которые подают электроэнергию в сеть. Связь между этими ресурсами и операторами региональных распределительных систем (DSO) осуществляется через подстанции Grid Connection Point (GCP), где удаленные терминальные устройства (RTU) управляют взаимодействиями с системами диспетчерского управления и сбора данных (SCADA). Расследование показало, что использовались конкретные тактики, методы и процедуры (TTP), особое внимание уделялось уязвимостям, присутствующим в устройствах.

Среди устройств были компрометация контроллеров Hitachi RTU560 с использованием метода, при котором злоумышленники использовали открытые веб-интерфейсы с учетные данные по умолчанию. Вредоносная прошивка была загружена для "жесткой" блокировки устройств. Примечательно, что в RTU была функция "безопасного обновления", которая не была включена по умолчанию и имела уязвимость обхода (CVE-2024-2617), затрагивающую несколько версий прошивка до 13.7.7.

Еще одним набором устройств для компрометация были Mikronika RTUs. Злоумышленники получили доступ к этим системам через SSH, используя учетные записи root с учетные данные по умолчанию, что позволило им стереть файловые системы устройств. Хотя конкретные модели, на которые был нацелен вирус, не разглашались, многие использовали OMAP-системы Texas Instruments, что упрощало разработку вредоносных полезных нагрузок.

Устройства серии Moxa NPort 6000 также были задействованы, но злоумышленники не блокировали эти устройства. Вместо этого они использовали учетные данные по умолчанию для получения доступа, сбросили устройства к заводским настройкам и изменили параметры конфигурации, чтобы затруднить восстановление, сделав их недоступными.

Методы взлома заслуживают особого внимания, поскольку они отличаются от обычных атак типа "Отказ в обслуживании" (DoS). В отличие от DoS-атак, которые обычно усложняют усилия по восстановлению, но позволяют осуществлять восстановление без физической замены, блокирование приводит к полному выходу устройств из строя, что требует обширных восстановительных работ.

Способы компрометации устройств включали в себя установку вредоносных обновлений прошивка, получение доступа к файловой системе через такие службы, как FTP или SSH, использование методов Удаленное Выполнение Кода (RCE), а также внедрение команд или методы повреждения памяти. Осведомленность о безопасности и устойчивость к таким уязвимостям в системах операционных технологий (OT) являются обязательными, что требует детальных оценок и усовершенствованных политик безопасности для всех устройств в критически важных секторах.

#ParsedReport #CompletenessLow
10-02-2026

Active Ivanti Exploitation Traced to Single Bulletproof IPPublished IOC Lists Point Elsewhere

https://www.greynoise.io/blog/active-ivanti-exploitation

Report completeness: Low

Threats:
Gootkit
Spynote_rat

Victims:
Ivanti endpoint manager mobile users

Industry:
Government

Geo:
Hong kong, Netherlands, Dutch, Sweden, Russia, England

CVEs:
CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)

CVE-2026-21962 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle http_server (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0)
- oracle weblogic_server_proxy_plug-in (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0)

CVE-2026-1340 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-24799 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- glpi-project glpi (<10.0.18)

CVE-2026-24061 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gnu inetutils (le2.7)


ChatGPT TTPs:
do not use without manual check
T1059.004, T1071.004, T1190, T1505.003, T1583.003, T1583.006, T1587.003, T1595.001, T1595.002, T1608.004, have more...

IOCs:
File: 1
IP: 5

Soft:
Ivanti, Slack, WebLogic, Ivanti EPMM, Chrome, Firefox

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Использование критических уязвимостей CVE-2026-1281 и CVE-2026-1340 в Ivanti Endpoint Manager Mobile связано с одним IP-адресом (193.24.123.42), связанным с пуленепробиваемым хостингом в России, на долю которого приходится 83% сеансов использования. Методология атаки в основном использует внеполосное тестирование безопасности приложений (OAST) для скрытой проверки выполнения команд, что указывает на то, что основное внимание уделяется каталогизации целей для будущего использования, а не немедленным действиям. Кроме того, бездействующие полезные нагрузки, идентифицированные как "спящие оболочки 403.jsp", развертываются после эксплуатации с целью обеспечения долгосрочного доступа к системам компрометация.
-----

Использование критических уязвимостей CVE-2026-1281 и CVE-2026-1340 в Ivanti Endpoint Manager Mobile (EPMM) отслеживается по одному IP-адресу 193.24.123.42. Этот IP-адрес используется примерно в 83% всех сеансов эксплуатации. Обе уязвимости имеют оценку CVSS 9,8; CVE-2026-1281 допускает неавторизованное Удаленное Выполнение Кода, в то время как CVE-2026-1340 предполагает внедрение кода. В начале февраля было проведено 417 сеансов эксплуатации с восьми уникальных исходных IP-адресов, в основном с вышеупомянутого IP-адреса.

В 85% попыток эксплуатации использовались методы внеполосного тестирования безопасности приложений (OAST), предполагающие каталогизацию целей для последующего использования, что свидетельствует о тактике брокера первоначальный доступ. Было отмечено увеличение числа сеансов - только 8 февраля их было 269. Использование привело к развертыванию бездействующих полезных нагрузок, известных как “спящие оболочки 403.jsp” для будущего несанкционированного доступа, что указывает на стратегию поддержания долгосрочного доступа.

Широко распространенные IOCS, связанные с кампанией, указывают на различные уязвимости и источники, включая IP-адреса, привязанные к VPN-сервисам, и маршрутизатор компрометация, которые не показали доказательств эксплуатации Ivanti. Эта ситуация подчеркивает риски, связанные исключительно с использованием опубликованных IOC для обнаружения угроз, поскольку они могут упускать из виду критические пути использования. Использование пуленепробиваемой инфраструктуры хостинга является ключом к наблюдаемой концентрированной вредоносной активности. Предлагается внедрить фреймворк для оценки достоверности для IOCs, чтобы улучшить обнаружение сложных угроз.

#ParsedReport #CompletenessLow
12-02-2026

AiFrame- Fake AI Assistant Extensions Targeting 260,000 Chrome Users via injected iframes

https://layerxsecurity.com/blog/aiframe-fake-ai-assistant-extensions-targeting-260000-chrome-users-via-injected-iframes/

Report completeness: Low

Threats:
Aitm_technique

Victims:
Browser users

TTPs:
Tactics: 9
Technics: 5

IOCs:
Domain: 3
Coin: 2
Email: 28

Soft:
Chrome, ChatGPT, Claude, Gmail, DeepSeek

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания AiFrame нацелена примерно на 260 000 пользователей Google Chrome с помощью вредоносных расширений для браузера, замаскированных под помощников с искусственным интеллектом. Эти расширения используют полноэкранный iframe для имитации законных интерфейсов, собирая данные телеметрии при взаимодействии с тематическими поддоменами на tapnetic.pro домен. В атаке используются такие методы, как Теневая (drive-by) компрометация, Маскировка и тактика adversary-in-the-middle для получение учетных данных, что указывает на значительную угрозу безопасности браузера за счет использования доверия пользователей к инструментам искусственного интеллекта.
-----

Кампания AiFrame использует вредоносные браузерные расширения, Маскировка которых осуществляется под законных помощников с искусственным интеллектом, и нацелена примерно на 260 000 пользователей Google Chrome. Эта кампания подчеркивает растущую тенденцию, когда киберпреступники используют популярность инструментов генеративного искусственного интеллекта, таких как ChatGPT и Claude, для обмана пользователей и получения доступа к их информации.

Вредоносные расширения создаются таким образом, чтобы казаться независимыми, с разными названиями, фирменным стилем и идентификаторами расширений. Однако они имеют единую внутреннюю структуру и похожи друг на друга логикой JavaScript, разрешениями и серверной инфраструктурой. Основной метод заключается в отображении полноэкранного iframe, который указывает на удаленный домен (claude.tapnetic.pro). Этот iframe накладывается на текущую веб-страницу, создавая интерфейс, который имитирует внешний вид допустимого расширения.

Эти расширения предназначены для сбора телеметрических данных. Каждый вариант взаимодействует с определенным поддоменом tapnetic.pro тематика которого соответствует продукту с искусственным интеллектом, за который он себя выдает, что усиливает обманчивый характер кампании. Более того, злоумышленники используют тактику, позволяющую избежать обнаружения механизмами принудительного использования Chrome Web Store, что позволяет повторно загружать и распространять вредоносные расширения без существенных препятствий.

Тактика, методы и процедуры (TTP), используемые в этой кампании, соответствуют нескольким выявленным методологиям борьбы с угрозами. Этап разработки ресурса включает в себя приобретение инфраструктуры для поддержки вредоносных действий (T1583). Первоначальный доступ достигается с помощью Теневая (drive-by) компрометация (T1189), когда жертвы неосознанно устанавливают расширения, часто через Доверительные отношения (T1199). Выполнение характеризуется выполнением скрипта (T1036) и Маскировка (T1036), что еще больше скрывает злонамеренные намерения расширений.

Злоумышленник нацелен на получение учетных данных (T1557) с помощью методов adversary-in-the-middle, позволяющих ему собирать конфиденциальную пользовательскую информацию. Связь и командное управление устанавливаются с помощью методов, основанных на Веб-служба (T11.005) и выделенных поддоменов, облегчающих эксфильтрация данных (T12.001). Эта кампания знаменует собой критический прорыв в модели безопасности браузера, используя доверие пользователей к законным технологиям искусственного интеллекта, подчеркивая необходимость повышенной бдительности в отношении подобных угроз.

#ParsedReport #CompletenessMedium
12-02-2026

Unpacking the New Matryoshka ClickFix Variant: Typosquatting Campaign Delivers macOS Stealer

https://www.intego.com/mac-security-blog/matryoshka-clickfix-macos-stealer/

Report completeness: Medium

Actors/Campaigns:
Overload

Threats:
Clickfix_technique
Typosquatting_technique
Clipboard_injection_technique

Victims:
Macos users, Cryptocurrency users

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1056.002, T1059.004, T1105, T1204.001, T1204.002, T1583.001, T1584.005

IOCs:
Domain: 3
Url: 2
File: 2

Soft:
macOS, curl, url -s, url -X, Ledger Live, Electron

Wallets:
trezor

Algorithms:
base64, zip, gzip, sha256

Functions:
daemon_function

Languages:
applescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Matryoshka ClickFix специально нацелена на пользователей macOS с помощью социальной инженерии и typosquatting, что приводит жертв к вредоносным доменам, которые запрашивают вводящие в заблуждение команды в терминале. Атака использует сложную технику обфускации для доставки сценария оболочки, который извлекает и декодирует полезную нагрузку для сбора конфиденциальной информации, особенно с акцентом на криптовалютные кошельки. Примечательно, что он использует сложные методы для манипулирования законными приложениями, повышая свою скрытность и эффективность.
-----

Вариант Matryoshka ClickFix представляет собой эволюцию кампании "ClickFix", которая специально ориентирована на пользователей macOS с помощью сложного подхода социальной инженерии. В этой кампании используется метод, известный как typosquatting, когда пользователи непреднамеренно переходят на вредоносный домен, ошибочно вводя URL-адреса законных сайтов проверки программного обеспечения, таких как "comparisions.org ." Попав на сайт, жертва перенаправляется через Система распределения трафика (TDS) и получает инструкции по выполнению вводящей в заблуждение команды в терминале macOS.

Техническая архитектура этой кампании демонстрирует технику вложенного запутывания, напоминающую русскую матрешку, отсюда и название "Matryoshka". В отличие от более ранних версий ClickFix, в которых использовались более понятные скрипты, в этом варианте используется сложная оболочка, которая скрывает его операционную логику как от сетевых сканеров, так и от статического анализа. Первоначальная команда, выполняемая жертвой, напрямую не загружает типичное приложение macOS; вместо этого она извлекает безобидный на вид сценарий оболочки, содержащий значительную закодированную полезную нагрузку.

Полезная нагрузка работает в два основных этапа. На этапе 0 введенная команда облегчает доступ к буферу обмена, позволяя извлекать закодированную, сжатую полезную нагрузку. На этапе 1 эта полезная нагрузка декодируется и распаковывается в памяти, что делает ее исполняемой только во время выполнения, что добавляет уровень сложности тактике уклонения вредоносное ПО.

После выполнения полезная нагрузка, в основном созданная в AppleScript, предназначена для сбора конфиденциальной информации. По своей сути, он пытается получить учетные данные с помощью автоматизированного процесса, который завершается неудачей, приводящей к циклу фишинг. Этот цикл имитирует диалоговое окно "Системные настройки" macOS, настойчиво запрашивающее у жертвы пароль. Примечательно, что вредоносное ПО явно нацелено на приложения для криптовалютных кошельков, используя две различные стратегии: для Trezor Suite оно принудительно закрывает процесс, удаляет приложение и устанавливает вредоносную замену; для Ledger Live оно использует более скрытный подход, который включает замену компонентов подлинного приложения и их повторную подпись, таким образом обходя защиту. проверка целостности.

Таким образом, кампания Matryoshka ClickFix иллюстрирует усовершенствованный метод обмана пользователей без использования традиционных эксплойтов, фокусируясь на убеждении жертв выполнить первоначальную команду. Вложенный механизм доставки и нацелен на полезную нагрузку AppleScript делают эту угрозу особенно опасной для нацелен на важные объекты, такие как учетные данные браузера и криптовалютные кошельки. Следует принять меры безопасности, чтобы проинформировать пользователей о рисках, связанных с typosquatting и несанкционированным выполнением команд в их системах.

#ParsedReport #CompletenessHigh
11-02-2026

Lotus Blossom (G0030) and the Notepad++ Supply-Chain Espionage Campaign

http://dti.domaintools.com/research/lotus-blossom-and-the-notepad-supply-chain-espionage-campaign

Report completeness: High

Actors/Campaigns:
Dragonfish (motivation: financially_motivated, cyber_espionage)
Stone_panda
Winnti

Threats:
Supply_chain_technique
Chrysalis
Sagerunex
Elise
Spear-phishing_technique
Dll_sideloading_technique
Cobalt_strike_tool
Lolbin_technique
Dllsearchorder_hijacking_technique

Victims:
Government, Financial institutions, Information technology service providers, Developers, System administrators

Industry:
Retail, Maritime, Military, Telco, Government

Geo:
China, Philippines, Asian, Australia, Taiwan, Hong kong, America, Indonesia, Vietnam, Asia, Chinese, El salvador, Oceania

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 3
IP: 3
File: 4
Url: 9
Hash: 6
Path: 3

Soft:
Outlook, Dropbox, Twitter, WireGuard, NSIS installer, Windows service

Algorithms:
exhibit

#ParsedReport #ExtractedSchema

Classified images:
schema: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская кампания Notepad++ supply-chain spionage, атрибутирован с китайской группой Lotus Blossom (G0030), использовала инфраструктуру распространения обновлений сторонних производителей вместо компрометации кода программного обеспечения, что позволило манипулировать пользовательскими обновлениями. Операция была нацелен на разработчиков и системных администраторов в Юго-Восточной Азии, которые внедрили пользовательский бэкдор под названием Chrysalis для предоставления дополнительной полезной нагрузки при сборе политически чувствительной информации. Это высвечивает уязвимости в экосистемах программного обеспечения, подчеркивая важность мониторинга шаблонов обновлений для защиты от подобных атак в будущем.
-----

Lotus Blossom (G0030) провела шпионскую кампанию supply-chain, нацелен на Notepad++, используя механизм обновления программного обеспечения с конца 2025 по начало 2026 года. Злоумышленники манипулировали сторонней инфраструктурой для получения обновлений, не изменяя код программного обеспечения. Кампания была нацелена на высокоценные технические должности, особенно на разработчиков и системных администраторов. Группа использовала несанкционированный доступ к хостингу обновлений для развертывания нескольких цепочек заражения с различными полезными нагрузками. Пользовательский бэкдор под названием Chrysalis был развернут для доставки дополнительной полезной нагрузки и поддержания скрытности. Теракт был нацелен на конкретных жертв в Юго-Восточной Азии, в частности во Вьетнаме и на Филиппинах, что соответствовало геополитическим интересам Китая. Шпионаж был сосредоточен на сборе разведданных в политической, экономической и военной областях, не занимаясь Кража денежных средств. Операция выявила уязвимости в системе доверия к экосистеме программного обеспечения, особенно в отношении сред разработчиков и администраторов. Бдительность при отслеживании шаблонов обновлений и поведения сети необходима для защиты от подобных атак в будущем.